Inhaltsübersicht
Einer der langjährigsten Schmerzpunkte für Administratoren, die Entra-joined Geräte verwalten, wird endlich angegangen. Beginnend mit dem Windows Insider Build 27881 hat Microsoft eine lang erwartete Verbesserung eingeführt: Windows kann jetzt Entra-Gruppen- und Intune-Rollen-SIDs (wie Geräteadministratoren und Unternehmensadministratoren) automatisch in lesbare Namen übersetzen – direkt auf dem Gerät.
Die geheimnisvollen S-1-12-1 SIDs
Wenn Sie jemals eine Entra-Gruppe oder eine Intune-Rolle zu einer lokalen Windows-Gruppe hinzugefügt haben, ist Ihnen wahrscheinlich aufgefallen, dass Sie anstelle eines klaren Namens mit einer kryptischen S-1-12-1-xxxx SID begrüßt wurden.
Obwohl Entra-Benutzer seit Jahren ordnungsgemäß aufgelöst wurden, waren Entra-Gruppen und integrierte Rollen für das lokale Windows-Identitätssystem einfach unsichtbar. Selbst kritische Rollen wie “Geräteadministratoren” wurden als “Unbekanntes Konto” angezeigt, sodass Administratoren raten mussten, wer tatsächlich über erhöhte Berechtigungen verfügte.
Um diese SIDs zu interpretieren, verließen sich Administratoren auf PowerShell-Skripte oder Community-Tools, da Windows selbst Entra nicht nach diesen Identitäten fragen konnte.
Was ist neu in Windows Insider Build 27881
Microsoft hat diese seit langem fehlende Lücke mit einer neuen Funktion, intern als AADSidToNameV2Support bekannt, leise geschlossen.
Diese Verbesserung erweitert den bestehenden Prozess zur SID-zu-Name-Zuordnung, der zuvor Entra-Benutzer verarbeitete, auf Gruppen und Rollen.
Das bedeutet in der Praxis: Wenn Windows auf eine unbekannte Entra-SID stößt – sei es ein Benutzer, eine Gruppe oder eine Rolle –, folgt es nun einem intelligenteren Auflösungsprozess.
Prüfen Sie den lokalen Cache: Windows sucht zuerst nach der SID im lokalen Identitäts-Cache.
Fragen Sie Entra nach Bedarf: Wenn es nicht zwischengespeichert ist, fragt Windows Entra sicher ab, um festzustellen, zu wem diese SID gehört.
Cache das Ergebnis: Sobald der übersetzte Name aufgelöst ist, wird er lokal gespeichert, damit er beim nächsten Mal sofort angezeigt wird – selbst offline.
Dieser gesamte Vorgang geschieht unauffällig im Hintergrund, wobei eine sichere Authentifizierung zwischen Gerät und Entra genutzt wird. Die Übersetzungsdaten befinden sich unter dem Registrierungspfad:
HKLM\SOFTWARE\Microsoft\IdentityStore\Cache\\IdentityCache
Der Endpunkt für die Zuordnung von Entra-SID zu Namen
Unter der Haube greift Windows auf einen neuen Entra-Endpunkt zu:
https://login.microsoftonline.com/<tenant>/sidtoname
Windows erstellt ein gerätesigniertes JSON Web Token (JWT), das seine Identität beweist, und fügt die unbekannte SID in die Anforderung ein. Entra antwortet mit dem entsprechenden Identitätsnamen und den Anzeiginformationen. Wenn die Suche erfolgreich ist, aktualisiert Windows seinen lokalen Cache – das bedeutet, die SID wird von diesem Zeitpunkt an korrekt angezeigt. Wenn die Suche fehlschlägt, bleibt die SID unverändert, bis sie aufgelöst werden kann.
Abwärtskompatibilität mit NT4-Style-Namen
Einige ältere Windows-Komponenten erwarten immer noch das klassische DOMAIN\Benutzer-Format. Um diese zu unterstützen, generiert Windows automatisch einen kompatiblen Alias (z. B. AzureAD\Gruppenname) mithilfe eines Hintergrundprozesses namens GenAndPersistNT4StyleName. Dies stellt sicher, dass Entra-Identitäten über moderne und ältere Windows-Oberflächen hinweg konsistent angezeigt werden können.
Vorher und nachher: Was Sie sehen werden
Wenn die Funktion deaktiviert ist, könnte die lokale Gruppe der Administratoren Einträge wie diese anzeigen:
S-1-12-1-1234567890-987654321-…
Sobald AADSidToNameV2Support aktiviert ist, erscheinen dieselben Einträge als:
Geräteadministratoren
Unternehmensadministratoren
apv2_benutzer
Anders ausgedrückt, Entra-Gruppen und -Rollen erscheinen jetzt genau so, wie Sie es erwarten – lesbar, korrekt und sofort erkennbar.
Warum diese Änderung wichtig ist
Diese Verbesserung ist mehr als nur Ästhetik. Es geht um Klarheit, Verwaltbarkeit und Sicherheit. Einfachere Administration – Kein Raten mehr, welche SID zu welcher Entra-Gruppe gehört. Bessere Richtlinienzielsetzung – Intune und Sicherheitsgrundlinien können nun benannte Entra-Gruppen korrekt identifizieren und Einstellungen darauf anwenden. Verbesserte Fehlerbehebung – Administratoren können sofort sehen, welche Cloud-Identitäten lokale Berechtigungen haben, was Verwirrung und potenzielle Fehlkonfigurationen reduziert.
Vorerst ist diese Verbesserung exklusiv für Insider-Builds und wurde noch nicht für die allgemeinen Release-Versionen von Windows 11 (24H2 oder 25H2) veröffentlicht. Aber es ist ein klares Signal dafür, dass Windows vollständig Entra-fähig wird und die Lücke zwischen lokaler und Cloud-Identitätsverwaltung schließt.
Das Endergebnis
Nachdem Windows jahrelang unverständliche SIDs in der lokalen Administratorengruppe angezeigt hat, versteht es nun native Entra-Identitäten. Mit AADSidToNameV2Support liefert Microsoft das, worauf Administratoren schon immer gewartet haben: eine lesbare und genaue Ansicht, wer wer auf einem Gerät ist – ohne Skripte oder Workarounds.
Windows lernt endlich fließend Entra zu sprechen, und das ist ein großer Gewinn für jeden IT-Administrator, der cloud-vernetzte Geräte verwaltet.


